Läs på engelska

Dela via


Aktivera stöd för did:web:path

I den här artikeln går vi vidare med stegen för att aktivera stöd för did:web:path till din utfärdare.

Förutsättningar

  • Verifierad ID-utfärdare registreras manuellt med hjälp av did:web. Snabbkonfigurationen använder ett domännamn som hanteras av Microsoft och som inte kan utökas.

Vad är did:web:path?

Did:web:path beskrivs i did:web-metodspecifikationen. Om du har en miljö där du måste använda ett stort antal myndigheter blir det ett administrativt problem att skaffa domännamn åt dem. Att använda en enda domän och låta de olika myndigheterna visas som sökvägar under domänen kan vara en mer gynnsam metod.

Aktivera domän för stöd för did:web:path

Som standard är en klient och en utfärdare inte aktiverade för att stödja did:web:path. Du begär aktivering av did:web:path för din utfärdare genom att skapa en ny supportbegäran i administrationscentret för Microsoft Entra.

Information om supportärende:

  • Problemtyp: Technical
  • Tjänsttyp: Microsoft Entra Verified ID
  • Problemtyp: Configuration organization and domains
  • Sammanfattning: Enable did:web:path request
  • Beskrivning: Se till att inkludera
    • Din Microsoft Entra tenant ID
    • Din did (exempel: did:web:verifiedid.contoso.com)
    • Uppskattat antal undersökvägar
    • Affärsrelaterad motivering

Hur kan jag testa att min utfärdare är aktiverad?

Du får bekräftelse på din supportbegäran, men du kan också kontrollera om en did:web-domän är aktiverad för did:web:path genom att testa den i en vanlig webbläsare. Genom att lägga till en sökväg som inte finns (:do-not-exist i följande exempel) får du och felmeddelande med kod discovery_service.web_method_path_not_supported om din utfärdare inte är aktiverad, men koden discovery_service.not_found om den är aktiverad.

https://discover.did.msidentity.com/v1.0/identifiers/did:web:my-domain.com:do-not-exist

Hur gör jag för att konfigurera en utfärdare med did:web:path?

När klientorganisationen och utfärdaren har aktiverats för did:web:path kan du skapa en ny utfärdare i samma klientorganisation som använder did:web:path. För närvarande krävs det att administratörs-API:et används eftersom det inte finns något stöd i portalen för det.

  1. Få information om din befintliga utfärdare
    • Gå till Verified ID | Overview och kopiera domän (exempel: https://verifiedid.contoso.com/)
    • Gå till Verified ID | Organization settings och anteckna vilket Nyckelvalv som konfigureras.
    • Gå till Key Vault-resursen resource groupoch kopiera , subscription IDoch Vault URI
  2. Anropa utfärdaren skapa med följande JSON-brödtext (ändra efter behov). I /my-path sökvägen anger du sökvägens namn som ska användas.
POST /v1.0/verifiableCredentials/authorities

{
  "name":"ExampleNameForPath",
  "linkedDomainUrl":"https://my-domain.com/my-path",
  "didMethod": "web",
  "keyVaultMetadata":
  {
    "subscriptionId":"aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
    "resourceGroup":"verifiablecredentials",
    "resourceName":"vccontosokv",
    "resourceUrl": "https://vccontosokv.vault.azure.net/"
  }
}
  1. Generera dokumentet för den nya utfärdaren genom att anropa generateDidDocument där newAuthorityIdForPath är id attributet i svaret create authority:
POST /v1.0/verifiableCredentials/authorities/:newAuthorityIdForPath/generateDidDocument
  1. Spara dokumentets svar på en fil med namnet did.json och ladda upp den till en plats på webbservern som matchar linkedDomainUrl i API-anropet för att skapa utfärdaren. Om sökvägen är https://my-domain.com/my-pathmåste den nya did.json filen finnas på den platsen.

  2. Hämta den länkade domänen gjorde konfigurationen via anropet generateWellknownDidConfiguration API med följande JSON-brödtext (ändra efter behov). DomainUrl är domännamnet utan sökvägen

POST /v1.0/verifiableCredentials/authorities/:newAuthorityIdForPath/generateWellknownDidConfiguration

{
    "domainUrl":"https://my-domain.com/"
}
  1. Från svaret kopierar du JWT-token i linked_dids samlingen.

  2. Öppna filen https://my-domain.com/.well-known/did.configuration.json i en redigerare på webbservern och lägg till JWT-token som en ny post i linked_dids-samlingen. Det bör se ut ungefär så här när du har lagt till det.

{
  "@context": "https://identity.foundation/.well-known/contexts/did-configuration-v0.0.jsonld",
  "linked_dids": [
    "eyJh...old...U7cw",
    "eyJh...new...V8dx",
  ]
}
  1. Spara filen.

Skapa kontrakt med hjälp av den nya utfärdaren did:web:path

Kontrakt måste skapas med hjälp av administratörs-API:et. Det finns för närvarande inget användargränssnittsstöd för sekundära myndigheter.

Utfärda autentiseringsuppgifter baserade kontrakt i den nya did:web:path authority

För att appar ska kunna utfärda autentiseringsuppgifter baserat på kontrakt i den nya utfärdaren did:web:path behöver du bara ändra authority fältet i nyttolasten för begäran för att skapaIssuanceRequest API.

{
  "authority": "did:web:my-domain.com:my-path",
  "includeQRCode": false,
  ... the rest is the same...
}